Rgdp, associazioni dei consumatori legittimate ad agire anche senza una violazione concreta

Per proteggere dati personali da condotte pregiudizievoli le associazioni di tutela dei consumatori possono esercitare azioni rappresentative. Questo, secondo la Corte giustizia dell'Unione europea causa C-319/20, anche indipendentemente dalla violazione concreta del diritto alla privacy di un interessato e senza mandato specifico.

La vicenda
La vicenda esaminata dai giudici europea riguarda la Meta Platforms Ireland, già Facebook Ireland, titolare del trattamento di dati personali degli utenti del social network on line Facebook nell'Unione. Contro l'impresa l'Unione federale delle centrali e delle associazioni di consumatori della Germania ha proposto un'azione inibitoria per aver violato, nell'ambito della messa a disposizione degli utenti di giochi gratuiti forniti da terzi , norme relative alla protezione dei dati personali, alla lotta contro la concorrenza sleale e alla tutela dei consumatori.
Per la Corte federale di giustizia tedesca l'iniziativa sarebbe fondata, ma si rivolge alla Corte Ue perché ha dei dubbi sulla sua ricevibilità poiché non è convita che sulla questione un'associazione per la tutela degli interessi dei consumatori possa agire in giudizio dinanzi ai giudici civili per le violazioni contestate, senza che ci sia stata una infrazione concreta sui diritti di soggetti individualmente interessati e un mandato conferito da questi ultimi.

La sentenza della Corte Ue
La sentenza depositata oggi come prima cosa chiarisce che un'associazione per la tutela degli interessi dei consumatori, come l'Unione federale, rientra nella nozione di «organismo legittimato ad agire» ai sensi dell' Nuovo regolamento generale sulla protezione dei dati (Rgdp) visto che persegue un obiettivo di interesse pubblico consistente nell'assicurare i diritti dei consumatori. Infatti, la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali può essere correlata alla violazione di una norma relativa alla protezione dei dati personali.
Inoltre , sempre secondo la Corte, l'instaurazione di un'azione rappresentativa presuppone che un'associazione di questa natura, indipendentemente da qualsiasi mandato che le sia stato conferito, «ritenga» che i diritti di un interessato previsti dall'Rgdp siano stati violati a motivo del trattamento dei suoi dati personali, senza che sia necessario identificare, individualmente e preliminarmente, la persona specificamente interessata dal trattamento di dati e allegare l'esistenza di una specifica violazione dei diritti riconosciuti dalle norme in materia di protezione dei dati.
La Corte di Lussemburgo fornisce dunque un'interpretazione conforme all'obiettivo perseguito dal nuovo regolamento privacy: assicurare un elevato livello di protezione dei dati personali.